Beantwoord

Aanpak Ziggo modems verhelpen "Cable Haunt" beveiligingslek

  • 12 januari 2020
  • 55 reacties
  • 8335 keer bekeken


Toon eerste bericht
Dit topic is gesloten. Staat je antwoord hier niet bij, stel dan je vraag in een nieuw topic.

55 Reacties

Reputatie 4
Badge +2

Ter info de lijst is groeiende op de Cablehaunt site enne:

Er staan even zonder dat ik alle reply gelezen heb wel degelijk Ziggo modem/ routers bij

Zo ook gebruikt men bij Ziggo ARRIS en Technicolor of hebben Ziggo gebruikers deze zelf in gebruik enz.
Kijk maar onder Vulnerable Modems en dan onder "Modems confirmed by the community" de lijst is groeiende.
Cisco EPC3928AD ZIGGO

Arris Surfboard SB8200
Arris Surfboard CM8200A
Arris Surfboard SB6183­
Netgear CM1000
Netgear CM1150
Netgear CM600
Humax HGB10R-02
Technicolor TC7300
Cisco EPC3928AD
Technicolor TC7200
Technicolor TC7650
Technicolor CGA2121
COMPAL CH7465LG­
https://cablehaunt.com/

Ik zit hier met een Ubee EVW321B en die is ook vatbaar. Net even zelf getest met https://github.com/Lyrebirds/cable-haunt-vulnerability-test

Reputatie 5
Badge +5

De COMPAL CH7465LG­ is weer verdwenen van de lijst. Dat een ConnectBox kwetsbaar zou zijn voor dit lek leek me al onwaarschijnlijk, omdat er geen broadcom chip inzit en dus ook niet de lekke standaard-software met spectrum analyzer. Wel is de web interface van mijn ConnectBox onbruikbaar langzaam terwijl de exploit-test/port-scan loopt.

 

Behalve de port van de web-interface (80) staan er geen andere poorten open. Ook een verzoek naar “/Frontend” op de standaard web interface levert niets op. Mijn Compal ConnectBox in bridge mode met firmware “CH7465LG-NCIP-6.12.18.25-2p5-NOSH” is dus niet kwetsbaar voor deze exploit.

Dit topic is ondertussen 7 dagen oud maar wat er gebeurd om de kwetsbaarheid op te lossen is mij niet duidelijk. Ik heb een technicolor TC7210 die ook op de lijst van kwetsbare modems staat. Komt er een firmware update en kan die op afstand worden geinstalleerd?

Ik heb remote config management disabled staan, maakt dat wat uit?

Dat is de functie die je van de buitenkant kan bereiken, dat is sowieso slim om uit te zetten.

Het probleem is juist dat van binnenuit het modem te bereiken is, maar dan moet er al wel iemand op je PC/laptop/telefoon binnen zitten.

Kijk ook even naar de Firmware versie die erbij staat op die website. @Pietpiquet 

Reputatie 7

Dit topic is ondertussen 7 dagen oud maar wat er gebeurd om de kwetsbaarheid op te lossen is mij niet duidelijk. Ik heb een technicolor TC7210 die ook op de lijst van kwetsbare modems staat. Komt er een firmware update en kan die op afstand worden geinstalleerd?

Ik heb remote config management disabled staan, maakt dat wat uit?

We hebben het in onderzoek en meer kunnen we op dit moment nog niet zeggen.

Dit topic is ondertussen 7 dagen oud maar wat er gebeurd om de kwetsbaarheid op te lossen is mij niet duidelijk. Ik heb een technicolor TC7210 die ook op de lijst van kwetsbare modems staat. Komt er een firmware update en kan die op afstand worden geinstalleerd?

Ik heb remote config management disabled staan, maakt dat wat uit?


De TC7210 was bij mij niet kwetsbaar (in bridge mode), en staat alleen voor Spanje en Oostenrijk vermeld.
De Cisco EPC3928 van Ziggo staat wel vermeld op de lijst.

bron: https://cablehaunt.com/

Reputatie 7
Badge +14

Mijn TC7210 staat niet in bridge en de Spectrum Analyzer is op 192.168.178.1:8080 zonder enige autorisatie aan te roepen.
Bij de vorige firmware versie werd 192.168.100.1 gebruikt en toen was er nog wel gebruikersnaam plus wachtwoord nodig. .

 

Reputatie 4
Badge +5

@DennyW

Je kan zoals ook op de site van de ontdekkers van CableHaunt staat dan op je eigen router een static (route aanmaken voor interne ip van je modem in bridge. Daarna is bij mij de pagina niet meer te benaderen. Voor nu een werkbare workaround

@DennyW heeft zijn modem niet in bridge. Ik wel, en dat maakt blijkbaar verschil.
Het blijft wel wat lang stil van de kant van Ziggo. @Mark Ziggo kun je een update geven? Het lijkt erop dat behalve jullie EPC3928 ook de niet gebridgede TC7210 toch wel eens kwetsbaar kan zijn. Die testen zijn geen rocket science.

 

Reputatie 7

Ik weet het, ik val in herhaling. We hebben het in onderzoek en meer kunnen we op dit moment nog niet zeggen.

Reputatie 7
Badge +9

Ik weet het, ik val in herhaling. We hebben het in onderzoek en meer kunnen we op dit moment nog niet zeggen.


Dat geeft niet, zo blijft het item/draadje wel on-top :thumbsup:
 

OFF-TOPIC/algemeen:
Aangezien dit forum geen pinned items ondersteund ( antieke software ? ), is dat ( het regelmatig ‘aantikken’ / bump-up ) wel een methode om dit belangrijke items/draadjes voor zowel nieuwe bezoekers als stamgasten in beeld te houden.

We weten allemaal ( toch ? ) dat de zoekfunctie op dit forum bagger is. Als je iets zoekt, is o.a. de kans groot dat de eerste tig items van maanden/jaren geleden zijn en dat misschien halverwege items staan die nog geen uur oud zijn.

Misschien moet Ziggo op de home pagina ( https://community.ziggo.nl/ ) ruimte maken, door b.v. de "Badges” lijst en ‘Recent beantwoord” weg te halen en daar links naar belangrijke/actieve algemene klanten-items te plaatsen.
Of door onder het betreffende ( sub ) onderwerp een aantal links te plaatsen naar hot items.

Nu weet ik, dat dit commercieel gezien, niet direct positief lijkt ( je zet de was bij de voordeur ), maar het is wel een service naar klanten, die zo snel kunnen zien welke algemene topics hot zijn.
Ook het verwijderen van de Badges lijst, lijkt voor Ziggo contra actief. Want dat zijn wel diegene, die de fouten oplossen die Ziggo zelf ( via de helpdesk ) dumpt en waarvoor het geen extra personeel wil aannemen. Maar soms lijkt een draadje wel een punten race te worden, dus dat die lijst even naar de achtergrond gaat, is niet zo erg.

Reputatie 7
Badge +14

Ik weet het, ik val in herhaling. We hebben het in onderzoek en meer kunnen we op dit moment nog niet zeggen.


Dat geeft niet, zo blijft het item/draadje wel on-top :thumbsup:
 

 

 

Reputatie 7
Badge +9

Wij hebben van Cable Haunt vernomen en hebben dit in onderzoek.

 


Volgens ‘Het beste antwoord’ is er dus nog steeds geen antwoord/duidelijkheid !!


Is er al nieuws van het onderzoek team? Het is ondertussen al weer een maand geleden, dat dit lek bekend werd. Of wordt het weer een typisch Ziggo onderzoek? Namelijk, wel vermelden dat het onderzocht wordt, maar daarna niets meer laten horen en/of de klant ‘eeuwig’ op het antwoord te laten wachten.

Ondertussen zou het toch bekend moeten zijn of alle modem/routers van Ziggo veilig zijn. Het lijkt mij handig om hier ( door Ziggo ) een lijst te plaatsen met alle door Ziggo gebruikte merken/types modem/routers en daarbij te vermelden of deze wel/niet veilig zijn. Tevens zou die lijst ‘Het beste antwoord’ moeten worden.

Mochten Ziggo nog enkele merken/types onderzoeken of al weten dat er ook niet veilige types zijn, dan moet dat natuurlijk ook vermeld worden.

Ps1. ‘Het beste antwoord’ is een vast gepinned item ( onder de vraag ) en die moet natuurlijk altijd de laatste informatie bevatten, zodat lezers in één oogopslag het antwoord ( bij de vraag ) kunnen lezen.


Ps2. Eigenlijk is het antwoord “...is in onderzoek...” natuurlijk niet het beste antwoord. Op de vraag van de TS is maar één ‘beste’ antwoord mogelijk: een lijst met merk/types, wel/niet veilig en welk actie Ziggo ( eventueel ) gaat ondernemen.
En die lijst up-to-date houden totdat alle door Ziggo gebruikte modem/router zijn vermeldt en bekend is hoe/wat.

Reputatie 7

Ik snap dat jullie meer informatie willen, maar helaas kan ik op dit moment geen andere mededeling doen.

Reputatie 7
Badge +9

Nu.nl : Meer dan een miljard apparaten waren kwetsbaar voor hackers door een beveiligingslek in de wifichips die de apparaten gebruiken.

     “

…..Grote zorgen rondom getroffen routers'

ESET vond de kwetsbaarheid tijdens het onderzoek naar een kwetsbaarheid bij Amazon Echo-apparaten. In oktober ontdekte ESET dat oude smarthomeapparaten van Amazon lange tijd te hacken waren via een al bekende kwetsbaarheid in wifisystemen, genaamd KRACK, die miljoenen gebruikers trof.

ESET heeft de kwetsbaarheid inmiddels bekendgemaakt aan chipfabrikanten Broadcam en Cypress, waarna zij patches hebben gepubliceerd. Maar de grootste zorgen zijn er nog rondom de getroffen routers. Volgens ESET worden deze veel minder vaak geüpdatet dan telefoons en tablets. "Dit vergroot het aanvalsrisico omdat data die door een kwetsbaar toegangspunt worden verstuurd naar een niet-kwetsbaar apparaat, wat vaak buiten onze controle ligt, ontsleuteld kunnen worden door een kwaadwillende", zegt onderzoeker Robert Lipovský.

"Om jezelf als gebruiker te beveiligen kun je er het beste voor zorgen dat alle apparaten met wifitoegang, inclusief telefoons, tablets, laptops, slimme IoT-apparaten en wifitoegangspunten en routers geüpdatet zijn en de nieuwste firmwareversie gebruiken", adviseert de onderzoeker…...

     “

Het zijn misschien niet direct/exact de modems/routers die Ziggo gebruikt, maar wie weet en zal je het maar achteraf te horen krijgen.

Kom op Ziggo, sluit dit onderzoek af, publiceer de resultaten en communiceer met je klanten !

Laten we dit topic beperkt houden tot de Ziggo-modems, maar ik ben het het met je eens dat dit wel errug lang duurt. Je kan de modems binnen 5 minuten testen, met een kant en klaar script van Cablehaunt. Dan weet je meteen of ze kwetsbaar zijn. Dat moet onderhand dus echt wel bekend zijn. Opvallend is het verschil tussen mijn gebridge TC7210 en de ongebridgde van DennyW.
Zijn de modems niet kwetsbaar, dan is er niets aan de hand, en had dat gewoon bekend gemaakt kunnen worden.
Zijn de modems wel kwetsbaar, dan is er een probleem: De kwetsbaarheid, met uitleg, ligt al op straat en de vraag is of er voor deze modems nog nieuwe firmware komt. Zoniet, dan moet er een grote modemswap plaatsvinden.

Het lijkt erop dat Ziggo dit nu liever nog een beetje stil houd, wat bij mij het vermoeden doet rijzen dat er wel iets aan de hand is, maar dat de oplossing nog niet voorhanden is. Maar goed, we speculeren. Duidelijkheid is zeker gewenst.

Reputatie 7

Duidelijkheid is zeker gewenst.

Absoluut, zodra ik die kan geven zal ik dat ook doen.

Reputatie 7
Badge +9

...maar ik ben het het met je eens dat dit wel errug lang duurt. Je kan de modems binnen 5 minuten testen, met een kant en klaar script van Cablehaunt. Dan weet je meteen of ze kwetsbaar zijn. ...
Zijn de modems niet kwetsbaar, dan is er niets aan de hand, en had dat gewoon bekend gemaakt kunnen worden.
Zijn de modems wel kwetsbaar, dan is er een probleem: De kwetsbaarheid, met uitleg, ligt al op straat en de vraag is of er voor deze modems nog nieuwe firmware komt. Zoniet, dan moet er een grote modemswap plaatsvinden.

Het lijkt erop dat Ziggo dit nu liever nog een beetje stil houd, wat bij mij het vermoeden doet rijzen dat er wel iets aan de hand is….


We zijn ondertussen weer ruim een week verder. Het is nu toch wel duidelijk, dat het Ziggo geheel niets interesseert of haar klanten nu wel of geen een lek Ziggo modem/router hebben.

Zolang Ziggo niets officieels mededeelt, is er voor Ziggo ook geen noodzaak om extra acties te ondernemen, indien de modem/routers toch lek blijken te zijn.
Verklaard Ziggo daarentegen dat de modem/routers niet lek zijn, dan kan Ziggo daarop worden aangesproken mocht er t.z.t. toch blijken dat er een lekje is.

Dus door haar klanten niet te informeren denkt Ziggo voor alle verantwoordelijk weg te kunnen lopen. Typisch een commerciële actie !!

 

Reputatie 7
Badge +14

Het onderzoek van Ziggo duurt wel heel erg lang. Eigenlijk ongelofelijk lang. En dat is geen toevallige woordkeus!

Immers in april 2019 heeft Broadcom al een patch beschikbaar gesteld aan de producenten. Het mogelijke veiligheidslek is al bijna een jaar bekend. Er is een patch.

 

 

 

Has The Original Error Been Fixed?

We have contacted Broadcom several times in the last year both directly and indirectly through ISPs and manufacturers. Close to the release, we got contacted by Broadcom who informed us that they had fixed the issue in their reference code back in April 2019 due to one of our reports, sent through an ISP. Broadcom has not told us what they are doing to inform the manufacturers, that they sent the vulnerable code to.

Due to the nature of reference code, Broadcom have no centralized release structure to utilize for patching. The manufacturers decide what to do with the code received from Broadcom, and since a large number have copied the vulnerability any patch need to be implemented by the manufacturer. Neither Broadcom nor any of contacted manufacturers have agreed to send us either the original reference code or the patched version. We can therefore not verify how Broadcom have decided to patch the vulnerability in the reference code.

 


Het moet bij hetzij Ziggo dan wel diens leveranciers toch wel bekend zijn of zij die patch hebben geïmplementeerd of welke overwegingen zij hebben om dit juist niet te doen.
 

Reputatie 7
Badge +9

We zijn alweer 2 weken verder! Heb ik wat gemist of is het juist dat Ziggo nog steeds geen antwoord heeft gegeven op de  vraag van 12 januari jongstleden, namelijk of de modems/routers die Ziggo uitleent wel of niet het “Cable Haunt” lek hebben?

Natuurlijk weet ik wel, waarom Ziggo hier geen duidelijk antwoord geeft. Namelijk, als ze officieel daarover wat verklaren, dan kunnen ze later daarop aangesproken worden en dat kan gevolgen hebben.

Maar als ze daarvoor bang zijn, dan hebben ze dus blijkbaar wat te verbergen. Is het niet willen antwoorden van Ziggo, dan niet hetzelfde als een indirecte verklaring dat ( minimaal enkele van ) de door Ziggo gebruikte modems/routers dit lek hebben?
 

Reputatie 7
Badge +9

Wij hebben van Cable Haunt vernomen en hebben dit in onderzoek.


Eigenlijk wel een beetje schokkend dit. Na zo’n 3 maanden nog steeds geen officieel bericht/uitkomst. Ziggo heeft Blijkbaar wel degelijk iets te verbergen !!!

Eigenlijk verbaas ik me erover, dat Ziggo de laatste jaren steeds verder afglijdt richting een onbetrouwbare internet en tv leverancier, zonder dat Ziggo ook maar iets probeert om dit te stoppen.

Vroeger heb ik Ziggo jarenlang geadviseerd aan iedereen die mijn menig daarover vroeg, want toen was Ziggo de beste, zowel qua netwerk als beeld. Tegenwoordig is Ziggo vooral een commerciële onderneming, die o.a. zijn klanten vooral niet wil informeren, omdat Ziggo bang is voor de gevolgen. Dat haar klanten daardoor onnodige risico’s lopen qua privacy, interesseert deze geld-winkel blijkbaar niet.

Reputatie 7
Badge +14

Dit topic is 4 maanden geleden (12 januari 2020) gestart.

Dit topic is 4 maanden geleden (12 januari 2020) gestart.

Exact. Dus het duurt wel errrug lang. @Mark Ziggo wat is de status?

Reputatie 7

Helaas heb ik nog geen nieuws mogen ontvangen.